Uber оштрафовали на £246 млн за нарушение GDPR при передаче данных
Uber столкнулся с крупным штрафом в размере €290 млн (£246 млн; $324 млн) за передачу личных данных европейских водителей на серверы в США в нарушение правил Европейского Союза. Об этом сообщило Нидерландское управление по защите данных (DPA) в понедельник.
DPA заявило, что передача данных была «серьезным нарушением» Общего регламента по защите данных (GDPR), так как компания не обеспечила должную защиту информации водителей. В ходе двухлетнего периода данные, включая документы, удостоверяющие личность, лицензии на такси и данные о местоположении, были переданы в штаб-квартиру Uber в США.
Uber намерен обжаловать штраф, назвав его «несправедливым». Представитель компании заявил, что «процесс трансграничной передачи данных Uber соответствовал требованиям GDPR в течение трехлетнего периода неопределенности между ЕС и США». Он добавил, что это решение является ошибочным и штраф «абсолютно необоснованным».
Хотя передача данных в США разрешена по законам ЕС, существуют значительные разногласия относительно того, когда это может происходить без необходимости в дополнительном разрешении. Председатель DPA Алеид Вольфсен отметил, что компания не смогла обеспечить уровень защиты данных, необходимый для передачи в США.
DPA также заявило, что Uber собирал чувствительную информацию европейских водителей, включая лицензии на такси, данные о местоположении, фотографии, платежные данные, документы, удостоверяющие личность, а в некоторых случаях даже криминальные и медицинские данные.
Расследование началось после того, как более 170 французских водителей подали жалобу в группу по защите прав человека во Франции, которая затем передала её во французский орган по защите данных.
Согласно правилам GDPR, компания, обрабатывающая данные в нескольких странах ЕС, должна взаимодействовать с органом защиты данных той страны, где находится её основной офис. Европейская штаб-квартира Uber расположена в Нидерландах.
«В Европе GDPR защищает фундаментальные права людей, требуя от бизнеса и правительств ответственного обращения с персональными данными», — заявил Вольфсен. Он также отметил, что бизнес, хранящий данные европейцев за пределами ЕС, обычно обязан принимать дополнительные меры для их защиты.
Этот штраф стал третьим по счету для Uber от DPA, ранее в 2018 году компания была оштрафована на €600,000 (£508,000), а в прошлом году — на €10 млн (£8.5 млн). ЕС активно внедряет новые правила для крупных технологических компаний и в последние годы накладывает значительные штрафы за их нарушение. Например, в прошлом году ирландские регуляторы оштрафовали TikTok на €345 млн (£296 млн) за нарушение конфиденциальности данных детей в соответствии с правилами GDPR.
